アカウント名:
パスワード:
巫女テスター(17歳)、欠陥システムをサーバーごとシャットダウンするに至った顛末とその後のお話 [togetter.com]もどうぞ。
http://twitter.com/#!/Yuzu_n/status/69004346381176832 [twitter.com]
「Twitter見てて、なんか巫女さんの仕事先の会社のシステムは酷いんだなぁ、と思っていたら派遣にシステム止められて障害になってると専務が泣きついてきた」とか社長さんに言われまして。なんというかありがとうございました。
http://twitter.com/#!/Yuzu_n/status/69048921279823872 [twitter.com]
客先は
社長の脳裏には、岡崎市立図書館事件があったんじゃないだろうか?
刑事告発することで、批判が集中し、誹謗中傷で評判を落とされたり、嫌がらせ電話もたくさん来たりして、業務にもっと支障がでるのを恐れたのではないだろうか。
時期的に社長の脳裏にあったのは、ソニーなんでは?セキュリティに対しては対応を間違ってはイケない、と。しかもTwitterで呟くの知ってるんだから叩くと更なる被害をもたらしそう、だと。
私には専務が正しくて社長は早まったとしか見えな
しばらくすればTwitterに業務内容を呟くことが何を意味するか
この批判が結構多いみたいだけどさ、糞ソース見つけた!とか会社のシステムが脆弱性だらけで泣きたい!とか、その程度のことが業務内容の漏洩に該当するってどんだけ低レベルよ。 (会社が特定できてしまうとか、見る人が見ればわかるビジネスロジックだとかならともかく。)
そんなことを漏洩だと騒ぎ立てる前に、何が漏れては不味い情報なのか?どこをガードしなければならないのか?をちゃんと考えて線引きすべきだろ? これは個人情報、これは業務知識なので守らなくてはいけない。これは業界の一般話、とかさ
ジェットコースターの非破壊検査を受託してクラック見つけて「ああ、ソレ稼ぎどきだから来月会議してそれから決めるわ」って言われた時に、「判断は俺のペイのうちには入ってないから無視。友人にはあの遊園地は行かないように勧めるけど」ってのは、社会人としては問題なくても人でなしでしょう。んなもん、神代の時代から民草を導く神の仲介者である巫女さんが無視できるわけなかろう。データベースの中にクレジットカード情報と一緒に平文で書かれている名前は、タダのデータじゃなくて、その向こうに実在する人なわけだし。
「あっぱれ!でも契約は契約だから罪に問われても仕方がないか。悪法も法だし」って感じられる人が少ないなら、内部告発が少ない社会なのもやむを得ないかなあと思う。 # 社会人として正しければ他人が(会社ではない)被害を受けようが問題無いってのは、かなり訓練されてきてるよ。 # まあ、アレをありのままを呟いているはずだというナイーブな人が多いのみると、2chの有名なセリフは真理だね:-P
どうしようもないときに実力行使に及ぶのがどうかと思う社会だから、実力行使のために裁判所や警察、公的機関に相談しても、門前払いするお国柄なんだな
さらに行使しようとした人は私刑にさらされる
実力行使のために裁判所や警察、公的機関に相談しても、門前払いするお国柄なんだな
裁判所は相談しに行くところではありません。相談するなら弁護士。また、ルールに反した実力行使をしても良いか、相談しに行ったら、「するな」と言うでしょう。法治国家なんだから、法を逸脱してはいけませんよ。
基本的に、実力行使というのは自己中心的なんですよ。正当防衛のような一部の例外を除き、面倒臭くても、ルールに則った手続きを取ってください。
法律的には、セキュリティホールを残すことは犯罪じゃないのに対し、承認を得ないでサーバを止めるのは威力業務妨害で犯罪なんです。現状においては、セキュリティホールが見つかっても何もしないというのは企業倫理の問題でしかありません。
ACCS不正アクセス事件のようなことも考えると、セキュリティホールに対する何らかの法整備は必要でしょう。法を逸脱することに寛容になるのではなくて。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
警察を呼ぶ専務、理解を示す社長 (スコア:4, おもしろおかしい)
巫女テスター(17歳)、欠陥システムをサーバーごとシャットダウンするに至った顛末とその後のお話 [togetter.com]もどうぞ。
http://twitter.com/#!/Yuzu_n/status/69004346381176832 [twitter.com]
http://twitter.com/#!/Yuzu_n/status/69048921279823872 [twitter.com]
モデレータは基本役立たずなの気にしてないよ
Re: (スコア:5, すばらしい洞察)
対応する姿勢があったと考えられるにも関わらず、いくら脆弱性を発見したから
といって、勝手に停止して壊すなんて行為は威力業務妨害だよね。
情報漏えいを防いだとか言ってる割には、ツイッターに情報を漏えいさせてる
ところとか、もうアホかと。
ペネトレーションテストで深刻な脆弱性を発見したら、極秘(絶対に外部には
知られてはならない)に関係上長に報告し、対策方法があるのならすぐに
それを提示、無いならサービスの一時停止を提案するというのが正しいやり方。
社長の脳裏には、岡崎市立図書館事件があったんじゃないだろうか?
刑事告発することで、批判が集中し、誹謗中傷で評判を落とされたり、
嫌がらせ電話もたくさん来たりして、業務にもっと支障がでるのを恐れた
のではないだろうか。
私には専務が正しくて社長は早まったとしか見えない。
この巫女、今後も図に乗るかもよ。
少なくとも自分が発注元なら、この巫女を使ってる会社には絶対に発注しない。
Re: (スコア:4, すばらしい洞察)
社長の脳裏には、岡崎市立図書館事件があったんじゃないだろうか?
刑事告発することで、批判が集中し、誹謗中傷で評判を落とされたり、
嫌がらせ電話もたくさん来たりして、業務にもっと支障がでるのを恐れた
のではないだろうか。
時期的に社長の脳裏にあったのは、ソニーなんでは?
セキュリティに対しては対応を間違ってはイケない、と。
しかもTwitterで呟くの知ってるんだから叩くと更なる被害をもたらしそう、だと。
私には専務が正しくて社長は早まったとしか見えな
「お役所のソースは糞ばかりだ!」「国家機密漏洩罪で逮捕する」 (スコア:5, 興味深い)
この批判が結構多いみたいだけどさ、糞ソース見つけた!とか会社のシステムが脆弱性だらけで泣きたい!とか、その程度のことが業務内容の漏洩に該当するってどんだけ低レベルよ。
(会社が特定できてしまうとか、見る人が見ればわかるビジネスロジックだとかならともかく。)
そんなことを漏洩だと騒ぎ立てる前に、何が漏れては不味い情報なのか?どこをガードしなければならないのか?をちゃんと考えて線引きすべきだろ?
これは個人情報、これは業務知識なので守らなくてはいけない。これは業界の一般話、とかさ
まあ巫女さんだからね (Re:「お役所のソースは糞ばかりだ!」「国家機密漏洩罪で逮捕する」 (スコア:5, すばらしい洞察)
ジェットコースターの非破壊検査を受託してクラック見つけて「ああ、ソレ稼ぎどきだから来月会議してそれから決めるわ」って言われた時に、「判断は俺のペイのうちには入ってないから無視。友人にはあの遊園地は行かないように勧めるけど」ってのは、社会人としては問題なくても人でなしでしょう。
んなもん、神代の時代から民草を導く神の仲介者である巫女さんが無視できるわけなかろう。
データベースの中にクレジットカード情報と一緒に平文で書かれている名前は、タダのデータじゃなくて、その向こうに実在する人なわけだし。
「あっぱれ!でも契約は契約だから罪に問われても仕方がないか。悪法も法だし」って感じられる人が少ないなら、内部告発が少ない社会なのもやむを得ないかなあと思う。
# 社会人として正しければ他人が(会社ではない)被害を受けようが問題無いってのは、かなり訓練されてきてるよ。
# まあ、アレをありのままを呟いているはずだというナイーブな人が多いのみると、2chの有名なセリフは真理だね:-P
Re: (スコア:0)
Re: (スコア:0)
どうしようもないときに実力行使に及ぶのがどうかと思う社会だから、
実力行使のために裁判所や警察、公的機関に相談しても、門前払いするお国柄なんだな
さらに行使しようとした人は私刑にさらされる
Re:まあ巫女さんだからね (Re:「お役所のソースは糞ばかりだ!」「国家機密漏洩罪で逮捕する」 (スコア:1, すばらしい洞察)
裁判所は相談しに行くところではありません。相談するなら弁護士。また、ルールに反した実力行使をしても良いか、相談しに行ったら、「するな」と言うでしょう。法治国家なんだから、法を逸脱してはいけませんよ。
基本的に、実力行使というのは自己中心的なんですよ。正当防衛のような一部の例外を除き、面倒臭くても、ルールに則った手続きを取ってください。
法律的には、セキュリティホールを残すことは犯罪じゃないのに対し、承認を得ないでサーバを止めるのは威力業務妨害で犯罪なんです。現状においては、セキュリティホールが見つかっても何もしないというのは企業倫理の問題でしかありません。
ACCS不正アクセス事件のようなことも考えると、セキュリティホールに対する何らかの法整備は必要でしょう。法を逸脱することに寛容になるのではなくて。